Een kwetsbaarheid in Exchange waardoor een geauthenticeerde aanvaller code op de server kan uitvoeren is al in augustus gepatcht, zo stelt Microsoft dat daarmee berichtgeving van securitybedrijf ZDI ontkent. Het Zero Day Initiative (ZDI) kwam deze week met een blogposting en advisories over vier kwetsbaarheden in Exchange waar een geauthenticeerde aanvaller misbruik van kan maken. Een aanvaller zou in dit geval over inloggegevens van bijvoorbeeld een e-mailaccount moeten beschikken om de misbruik van de lekken te kunnen maken.

Volgens het ZDI is remote code execution met een van de kwetsbaarheden mogelijk en maken de andere drie diefstal van informatie mogelijk, waaronder ook gevoelige informatie. Het securitybedrijf stelt dat het Microsoft op 7 september over de problemen informeerde. Drie weken later liet het techbedrijf weten dat er niet direct voor de vier problemen een patch zou verschijnen. Ook liet Microsoft niet weten wanneer een update te verwachten zou zijn.

"In een notendop: dit wordt mogelijk verholpen of niet. Als ze beslissen om het te verhelpen kan de patch over een jaar of drie jaar verschijnen. We weten helemaal niets", aldus het ZDI. Tegenover Bleeping Computer laat Microsoft weten dat de kwetsbaarheid die remote code execution mogelijk maakt al in augustus is verholpen. De overige drie problemen zullen worden verholpen indien nodig, aldus Microsoft, dat tevens stelt dat het niet mogelijk is om met twee van de lekken gevoelige klantgegevens te stelen of rechten te verhogen, zoals het ZDI beweert.